generalny inspektor ochrony danych osobowych
Transkrypt
generalny inspektor ochrony danych osobowych
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Edyta Bielak-Jomaa DOLiS – 035 – 2282/16/AG Warszawa, dnia 7 września 2016 r. Pan Mariusz Błaszczak Minister Spraw Wewnętrznych i Administracji Ministerstwo Spraw Wewnętrznych i Administracji ul. Stefana Batorego 5 02 – 591 Warszawa WYSTĄPIENIE na podstawie art. 19a ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. 2016 r. poz. 922) zgodnie z którym Generalny Inspektor Ochrony Danych Osobowych, w celu realizacji zadań, o których mowa w jej art. 12 pkt 6, może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów, wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych, zwracam się do Pana Ministra, jako organu odpowiedzialnego za nadzór nad działalnością wojewodów na podstawie kryterium zgodności ich działania z powszechnie obowiązującym prawem (art. 8 ust. 3 ustawy z dnia 23 stycznia 2009 r. o wojewodzie i administracji rządowej w województwie – Dz. U. 2015, poz. 525 z późn. zm.) o wskazanie wojewodom pełniącym ul. Stawki 2 tel.(022) 860 – 70 – 81 00 – 193 Warszawa fax (022) 860 – 70 – 90 www.giodo.gov.pl funkcję organu nadzoru nad działalnością jednostek samorządu terytorialnego pod względem legalności (art. 3 pkt 3 i 4 ww. ustawy) na konieczność respektowania w treści uchwał organów jednostek samorządu terytorialnego, publikowanych na stronach internetowych, przepisów o ochronie danych osobowych oraz w procesie publikowania danych osobowych osób fizycznych zawartych w uchwałach organów gmin. W związku z powtarzającą się praktyką stosowaną w gminach, polegającą na udostępnianiu danych osobowych osób fizycznych w związku z realizacją prawa dostępu do informacji publicznej, organ do spraw ochrony danych osobowych występuje do Pana Ministra z wnioskiem o podjęcia stosownych działań, mających na celu wskazanie wojewodom na zasadność zaniechania w gminach praktyki polegającej na umieszczaniu w uchwałach gminy pełnych danych osobowych osób fizycznych w przypadkach kiedy jest to zbędne oraz, jeżeli ich zamieszczanie jest konieczne - do dokonywania każdorazowej anonimizacji tych danych przed opublikowaniem uchwał na stronach internetowych. Ochrona danych osobowych przy udostępnianiu informacji publicznej to kwestia budząca wiele wątpliwości i kontrowersji. Znalezienie właściwego balansu pomiędzy prawem do informacji publicznej a prawem do prywatności i ochrony autonomii informacji jednostki a zatem wyważenie tych wartości i właściwe stosowanie przepisów o ochronie danych osobowych i ustawy o dostępie do informacji publicznej wciąż nastręcza trudności. Zarówno prawo do prywatności, ochrona danych osobowych, jak i prawo dostępu do informacji publicznej należą do katalogu praw chronionych konstytucyjnie. Oznacza to, że z jednej strony organy władzy publicznej mają zapewnić przejrzystość swoich działań, zgodnie z zasadą jawności życia publicznego, z drugiej zaś muszą chronić prawa i wolości jednostki, w tym prawa do prywatności i ochrony danych osobowych. Istotą ochrony danych osobowych jest ochrona prywatności osoby, której dane dotyczą. Źródło tej ochrony stanowi przede wszystkim ustawa z dnia 2 kwietnia 1997 r. Konstytucja Rzeczypospolitej Polskiej (Dz.U. Nr 78, poz. 483 ze zm.). W myśl jej art. 47 każdy ma prawo m.in. do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia. Zgodnie z art. 51 Konstytucji RP władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (ust. 2), a zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa (ust. 5). Konkretyzację ww. normy stanowi ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2016 r. poz. 922), której art. 2 ust. 1 określa, że przetwarzanie danych osobowych może mieć miejsce 2 ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. Organy władzy publicznej działają na podstawie i w granicach prawa, zgodnie z zasadą praworządności wyrażoną w art. 7 Konstytucji RP oraz w art. 6 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2016 r. poz. 23), w ramach kompetencji nadanych im obowiązującymi ich przepisami prawa. Oznacza to, że mogą one przetwarzać dane osobowe jedynie wtedy, gdy służy to wypełnieniu określonych prawem zadań, obowiązków i upoważnień. Zarówno zakres, jak i cel przetwarzania danych osobowych przez podmioty publiczne najczęściej jest wyznaczony przepisami prawa i wynika on bezpośrednio z określonych prawem zadań danego podmiotu. Legalność przetwarzania danych osobowych tzw. zwykłych (imię, nazwisko, adres, PESEL) uwarunkowana jest spełnieniem jednej z materialnych przesłanek dopuszczalności wykonywania operacji na tych danych stosownie do art. 23 ust. 1 pkt 1-5 ustawy o ochronie danych osobowych. Ze względu na ww. zasadę legalizmu w tej sprawie istotne znaczenie ma przesłanka określona w art. 23 ust. 1 pkt 2 ww. ustawy, który stanowi, że przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Wskazać należy, że ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz.U. 2015 r. poz. 2058 z późn. zm.) w art. 8 ust. 3 zobowiązuje podmioty, o których mowa w art. 4 ust. 1 i 2 (m.in. organy samorządu terytorialnego), do udostępniania w Biuletynie Informacji Publicznej informacji publicznych, o których mowa w art. 6 ust. 1 pkt 1-3, pkt 4 lit. a tiret drugie, lit. c i d i pkt 5. W myśl art. 1 ust. 1 ww. ustawy każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu na zasadach i w trybie określonych w tej ustawie. Zgodnie z art. 3 ust. 1 pkt 1 ww. ustawy prawo do informacji publicznej obejmuje uprawnienia do uzyskania informacji publicznej, w tym uzyskania informacji przetworzonej w takim zakresie, w jakim jest to szczególnie istotne dla interesu publicznego. W myśl art. 6 ust. 1 pkt 4 ww. ustawy udostępnieniu podlega informacja publiczna w szczególności o danych publicznych, w tym: a) treść i postać dokumentów urzędowych, w szczególności: treść aktów administracyjnych i innych rozstrzygnięć (tiret pierwsze), c) treść innych wystąpień i ocen dokonywanych przez organy władzy publicznej. Zgodnie z art. 6 ust. 2 ww. ustawy dokumentem urzędowym w rozumieniu ustawy jest treść oświadczenia woli lub wiedzy, utrwalona i podpisana w dowolnej formie przez funkcjonariusza publicznego w rozumieniu przepisów Kodeksu karnego, w ramach jego kompetencji, skierowana do innego podmiotu lub złożona do akt sprawy. 3 Prawo do dostępu do informacji publicznej nie jest nieograniczone. Zgodnie z art. 5 ust. 2 ustawy o dostępie do informacji publicznej, prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa. W związku z powyższym celem uzyskania wcześniej wskazanego balansu między prawem do informacji a prawem do ochrony danych osobowych, przed ewentualnym opublikowaniem dokumentu, powinien on zostać poddany zabiegowi anonimizacji w odniesieniu do danych osobowych osób fizycznych. Każda bowiem osoba fizyczna, której dane są przetwarzane przez m.in. organy administracji publicznej, korzysta z określonego w art. 5 ust. 2 omawianej ustawy ograniczenia w dostępie do informacji publicznej w postaci ochrony prawa do swojej prywatności, o ile z prawa tego wyraźnie nie zrezygnuje. Ponadto, jak wskazał Wojewódzki Sąd Administracyjny „usunięcie personaliów osób prywatnych, czy też ich zanonimizowanie w ogłoszonej w BIP uchwale organu gminnego, nie wpływa na czytelność dokonanego w ten sposób przekazu. W tym przypadku treść aktu administracyjnego nie traci waloru informacyjnego, albowiem wynika z niej kto, kiedy i w jakiej sprawie publicznej zajął określone stanowisko” (wyrok z dnia 18 listopada 2008 r. w sprawie o sygn. akt II SA/Wa 1177/08). Zgodnie z art. 26 ust. 1 pkt 1-4 ustawy o ochronie danych osobowych, przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnić, aby dane te były: 1) przetwarzane zgodnie z prawem; 2) zbierane dla oznaczonych, zgodnych z prawem celów, w jakich są przetwarzane; 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane 4)przechowywane w postaci umożliwiającej identyfikację osób, której dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swymi danymi, a interesem administratora danych. W niniejszej sprawie chodzi o realizowanie celu jakim jest obowiązek udostępniania informacji publicznej. Równowaga będzie zachowana, jeżeli administrator przetwarza dane tylko w takim zakresie, w jakim jest to niezbędne do wypełnienia celu, w jakim dane są przez niego przetwarzane (art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych). Nie można zbierać i dalej przetwarzać, w tym udostępniać większej ilości danych, niż jest to niezbędne do realizacji określonego celu przetwarzania. Dane muszą być adekwatne do celu ich zbierania i przetwarzania, a cel przetwarzania danych musi być zgodny z prawem. Cel musi być 4 określony przed rozpoczęciem przetwarzania danych (art. 26 ust. 1 pkt 2 ustawy o ochronie danych osobowych). Organy władzy publicznej kształtując treść uchwał dotyczących przetwarzania danych osobowych nie mogą w swoich działaniach pomijać opisanej wyżej zasady adekwatności. Zamieszczanie w uchwałach rady gminy danych osobowych powinno następować tylko wtedy, kiedy jest to niezbędne. Publikowanie zaś na stronach internetowych uchwał rady gminy może odbywać się tylko po odpowiednim przetworzeniu (zanonimizowaniu) danych osobowych zawartych w tym dokumencie. W odniesieniu do uchwały rady gminy, podjętej po rozpatrzeniu skargi osoby fizycznej, zawierającej jej dane osobowe w zakresie imienia oraz nazwiska, publikację uchwały powinno poprzedzać usunięcie tych danych. Usunięcie danych osobowych musi być czynnością techniczną na tyle skuteczną, by dalsze operacje wykonywane na materiale stanowiącym informacje publiczną i czynienie z niego użytku, nie umożliwiało jakiegokolwiek dotarcia do danych osobowych, ich odtworzenia i odwrócenia procesu anonimizacji. Podsumowując tę część wystąpienia GIODO wskazać należy, w każdym przypadku udostępniania informacji publicznej w oparciu o przepisy ustawy o dostępie do informacji publicznej, konieczne jest uwzględnienie ograniczeń wynikających m.in. z ochrony prywatności osoby fizycznej zapisanych w art. 5 niniejszej ustawy. Z normami z art.5 ustawy o dostępie do informacji publicznej ściśle korespondują wspomniane wyżej zasady adekwatności i celowości przetwarzania danych, które muszą być stosowane także we wszystkich tych sytuacjach, które dotyczą ewentualnego ujawnienia informacji. Zasadnym wydaje się wskazać również , iż zakres udostępnianych danych osób fizycznych może mieć wpływ na ponowne ich wykorzystywanie, gdyż ustawodawca przewidział szereg rozwiązań w tym zakresie w ustawie z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (Dz.U. 2016, poz.352), co może również rodzić ryzyko profilowania tj. automatycznej technice przetwarzania danych, polegającej na przypisaniu danej osobie „profilu” w celu przewidywania jej preferencji, zachowań, postaw. Zwracam się z uprzejmą prośbą do Pana Ministra, by zgodnie z art. 19a ust. 3 ustawy o ochronie danych osobowych, przekazał Pan Generalnemu Inspektorowi Ochrony Danych Osobowych informację na temat stanowiska ministra właściwego ds. administracji publicznej w sprawie niniejszego wystąpienia w terminie 30 dni od daty jego otrzymania. 5 Informuję ponadto, iż treść niniejszego wystąpienia wraz z udzieloną odpowiedzią opublikowana będzie na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych, pod adresem www.giodo.gov.pl. 6